Захист від фішингу в сучасних браузерах - Вадим Стеркиной

1. Відчуйте себе ... рибою!
2. Що ховається за анти-фішинговою захистом Opera
3. Як Chrome, Firefox і Safari визначають заражені сайти
4. Як працює репутація файлів в Internet Explorer 9
5. Раннє оповіщення і актуальне попередження
6. Завантаження файлів з репутацією і без неї
7. Ситуація для розробників безкоштовних програм

У вас оновлений браузер і всі додатки. Але на якомусь сайті ви побачили повідомлення про зараження свого комп'ютера і встановили рекомендовану захисну програму. Після чого та запропонувала вилікуватися за гроші, причому в системі стало неможливо працювати.

Ні, звичайно, з вами такого статися не могло! Адже ви досвідчений користувач, який ніколи не попадеться на такі примітивні виверти шахраїв. А як щодо ваших близьких, друзів і знайомих - вони теж такі досвідчені? А може бути, ви вважаєте, що досить просто встановити їм антивірус, щоб застрахуватися від таких загроз?

До речі, ви зможете відрізнити підроблений антивірус Microsoft Security Essentials від справжнього?

збільшити малюнок

Минулого тижня моєму братові різні знайомі привезли з комп'ютера з фальшивими захисними програмами. Наявні в системі безкоштовні антивіруси від відомих виробників виявилися повалені могутнішими підробленими побратимами.

Не секрет, що користувачі часто самі створюють собі проблеми, встановлюючи шкідливі програми, що ховаються під маскою легітимних додатків. Ситуація ускладнюється тим, що під час установки фальшивки поводяться пристойно, не даючи особливого приводу до них причепитися. І лише потім вони проявляють себе у всій диявольською красі.

Відчуйте себе ... рибою!

Фішинг (рибалка, в буквальному перекладі) - це поєднання прийомів, за допомогою яких зловмисники намагаються:

• заявляючи вас на шахрайський сайт з метою вивудити особисту і фінансову інформацію
• спонукати вас до відвідування зараженого ресурсу, де експлуатуються уразливості браузерів і доповнень
• підсунути вам замасковану шкідливу програму, яка буде вимагати гроші або візьме систему під свій контроль

photo credit: Tolga «Musato»

Наведений вище приклад з фальшивим антивірусом - це класичний фішинг. Як інший поширеного випадку можна привести надбудови для перегляду відео. Пам'ятайте величезну частку сайтів з дитячою порнографією і потоковим відео серед всіх заражених ресурсів? Там дуже логічно пропонувати до завантаження який-небудь плеєр. Хочеш безкоштовної «полунички»? Установи надбудову! І ставлять :)

Так, оперативне оновлення браузерів і доповнень допомагає захиститися від загроз типу drive-by download - прихованого виконання шкідливого коду при відвідуванні сайтів, але цього недостатньо.

Поєднуючи анти-фішинговий фільтр браузера з антивірусної або комплексним захистом, ви не тільки зміцнюєте оборону від виконання шкідливих програм без вашого відома, а й отримуєте додаткову страховку від завантаження «зловредів» через недогляд або нерозуміння.

Ідеальна захисна тактика в Інтернеті - це нікуди не ходити і нічого не запускати. Але це неймовірно нудно, тому творці браузерів і захисних програм ділять для вас сайти і файли на хороші і погані. Протидія фішингу в браузерах полягає в попередженнях про:

• відвідуванні неблагонадійних сайтів
• завантаженні і запуску підозрілих файлів

Давайте подивимося, як вони реалізовані в популярних браузерах.

Що ховається за анти-фішинговою захистом Opera

Захист від фішингу в Opera з 2008 року будувалася у співпраці з компанією Haute Security . Зараз в реченні повідомити про шкідливий сайті (ALT + ENTER) відображаються логотипи сервісів PhishTank і Netcraft (Цікаво, що це вікно в повному обсязі локалізовано). Ці сервіси захищають вас від відвідування неблагонадійних сайтів.

У липні 2010 року, при виході версії 10.60, компанія оголосила вустами прес-секретаря про співпрацю з AVG, і цю інформацію поширили багато онлайн-видання . Але чомусь ні в описі захисту від фішингу , Ні в блозі розробників, ні в списках зміни версій ці відомості не відображені ( 10.61 лише скромно згадує про перейменування елемента інтерфейсу). Компанія AVG теж ніяк не відзначити, хоча ця подія гідно прес-релізу.

При такому розкладі важко зрозуміти, як працює захист, тому припущу, що якимось чином інтегрований сервіс LinkScanner , На який покладено блокування завантажень шкідливих файлів.

Що ж стосується підходу, який використовується в браузері Opera для звірки відвідуваних вами сайтів з чорним списком, то він має спільні риси з реалізацією в Chrome, Firefox і Safari, про яких і піде мова далі.

Як Chrome, Firefox і Safari визначають заражені сайти

Ці три браузера використовують Safe Browsing API , Відкритий механізм отримання інформації про шкідливі сайтах, і ось як це працює на прикладі Google Chrome.

Пошуковий движок Google служить джерелом для списків заражених сайтів, які компанія зберігає і оновлює у себе на серверах. За інформацією розробників, Chrome завантажує і локально зберігає оновлені списки протягом п'яти хвилин після запуску, а потім з півгодинними інтервалами. Це прискорює перевірку, тому що не потрібно посилати кожну відвідувану посилання на сервер і чекати відповіді.

Зрозуміло, що посилань в списках дуже багато, тому для прискорення завантаження і низького споживання каналу застосовується хешування посилань за алгоритмом SHA-256. При цьому в список, що завантажується браузером, заносяться тільки перші 32 біта з 256. Всі відвідувані вами посилання хешіруются і порівнюються з даними в списку. Якщо буде виявлено збіг по 32 бітам, браузер відправляє запит на сервер і отримує у відповідь все 256-бітові хеші з цим збігом. Отримавши список, Chrome порівнює з ним повний хеш посилання, і в разі повного збігу виводить попередження.

У Firefox і Safari отримання даних працює приблизно так само, але воно може відрізнятися обсягами і частотою оновлення. Зверніть увагу, що цей механізм не дає Google можливості дізнатися, які сайти ви відвідуєте. Компанія не отримує повний URL, а лише перші 32-біта його хеша, при цьому порівняння виконується тільки на вашому комп'ютері.

До речі, з 5 квітня 2011 року Google Chrome навчився блокувати завантаження шкідливих файлів за допомогою того ж Safe Browsing API.

Ймовірно, Firefox і Safari скоро послідують цьому прикладу.

Як працює репутація файлів в Internet Explorer 9

Перевірка посилань з'явилася в фільтрі SmartScreen з виходом IE7, а блокування підозрілих файлів Microsoft впровадила в фільтр ще в IE8, так що в цьому відношенні інші браузери знаходяться в ролі наздоганяючих.

збільшити малюнок

ця інфографіка з'явилася в англомовному блозі розробників IE9, коли я вже майже опублікував матеріал.

Коли шкідлива натура файлу відома фільтру, він буде заблокований в IE9 точно так же, як це відбувалося в IE8 (за винятком відмінностей в інтерфейсі браузерів).

збільшити малюнок

Я вже розповідав про роботу SmartScreen в IE8, тому зараз мова піде тільки про нову можливість фільтра в IE9 - репутації файлів.

Раннє оповіщення і актуальне попередження

Завдання механізму репутації файлів в тому, щоб попередити нас про потенційно небезпечних виконуваних файлах, які тільки що з'явилися в мережі. Іншими словами, це система раннього оповіщення про шкідливих і шахрайських файлах, які можуть бути ще невідомі захисним програмам.

Щоб повідомлення ефективно працювали, важливий не тільки технічний, але і психологічний аспект. Internet Explorer 8 при завантаженні будь-якого виконуваного файлу видавав однакову попередження.

Зрозуміло, що коли бачиш одне і те ж повідомлення кожного разу, на нього вже не звертаєш уваги. Та й немає в попередженні особливого сенсу, коли переважна більшість виконуваних файлів в Інтернеті все-таки цілком безпечні. Адже легітимних програм для Windows більше, ніж шкідливих.

Для Internet Explorer 9 створена репутаційна модель завантаження, яка бере до уваги різні критерії (наприклад, результати антивірусної перевірки, кількість і історію закачувань, репутацію посилання).

збільшити малюнок

Репутація завантаження встановлюється на основі:

• хеша, який є унікальним для кожного файлу
• цифрового сертифікату, яким підписано файл (один сертифікат забезпечує репутацію всіх файлів, які їм підписані)

Тепер повідомлення про потенційну небезпеку з'являється тільки для виконуваних файлів без репутації, і за оцінками розробників побачити його можна буде не частіше 2-3 разів на рік.

Репутація працює тільки для виконуваних файлів програм (EXE), але не для архівів або мультимедіа файлів.

У посиланнях на файли у Microsoft не бракує - адже дані стікаються не тільки від користувачів IE, але також з пошти Hotmail і Windows Live Messenger.

Завантаження файлів з репутацією і без неї

Коли виконуваний файл має репутацію, все відбувається стандартно. Спробуйте завантажити безкоштовне відео - після перевірки безпеки ви побачите звичайне діалогове вікно.

А ось такий же файл, але вже без репутації. завантажте це безкоштовне відео, і ви побачите попередження фільтра SmartScreen.

Зверніть увагу, що програму без репутації неможливо відразу запустити з браузера, хоча вона вже збережена на диску. Кнопку Виконати замінюють кнопки Видалити та Дії. Остання відкриває діалогове вікно з докладним поясненням причини блокування (те ж саме відбувається і в менеджері завантажень IE9).

Щоб дістатися до можливості запуску файлу, тут доведеться ще натиснути кнопку зі стрілкою Додатково. Особливо наполегливі користувачі все одно його запустять, але за оцінками розробників в цьому випадку ризик нарватися на щось нехороше становить від 25 до 70%.

Анти-фішинговий фільтр браузера надає додатковий рівень захисту системи, оскільки перевірка виконується до запуску файлу, тобто перед тим, як він потрапляє в сферу спостереження антивіруса.

Ті, хто відключає захист від фішингу в браузері, вважаючи достатнім лише антивірусний щит, демонструють поверхневий підхід до зміцнення безпеки системи.

До речі, не плутайте ці повідомлення з попередженням про завантаження непідписаного файлу (я зробив такий для прикладу). Воно з'являється завжди при відсутності цифрового підпису, і не є частиною фільтра SmartScreen.

збільшити малюнок

Ситуація для розробників безкоштовних програм

Додавання репутації файлів до фільтру SmartScreen безумовно зміцнює захист від фішингу в IE9. Однак репутацією можуть не володіти не тільки нові шкідливі програми, але і цілком легітимні, але не масові програми. І, умовно кажучи, поки їх не завантажить достатню кількість осіб, репутація не з'явиться. А раз її немає, IE9 буде ускладнювати запуск виконуваного файлу.

Одне з рішень проблеми - цифровий підпис коду. Тим часом, сертифікат на один рік від VeriSign коштує $ 500, а від Thawte - $ 300. Можна знайти і дешевше, але порядок суми зрозумілий. Далеко не кожен автор безкоштовної утиліти для Windows, що не видобуває прибутку зі свого проекту, готовий витратити такі гроші.

Можна піти далі і включитися в програму Windows 7 Logo , Підтвердивши сумісність додатка, що забезпечить йому репутацію. Думаю, що в Microsoft цілком свідомо пішли на такий крок, щоб підштовхнути розробників до написання програм, повністю сумісних з Windows 7. Цікаво, що доповнення для IE, які так потрібні браузеру для боротьби за місце під сонцем, в цю програму не приймаються.

Розробники, яким не підходять ці варіанти забезпечення репутації своєї програми, можуть упаковувати виконуваний файл в ZIP-архів. Це теж ускладнює запуск установника, але не відлякує користувачів попередженнями.

Розповідь про захисні функції браузерів ще не закінчений. Не всі фільтри однаково корисні, і про їх порівнянні ми поговоримо через пару днів.

Один з моїх читачів в обговоренні попередньої статті тільки що навів приклад фішингу . А ви зустрічалися з фішингом або його наслідками? Доводилося відновлювати систему після фальшивого антивіруса? До речі, ви визначили, який з двох MSE фальшивий? Розкажіть про свій досвід і системах, в яких спостерігалася проблема.

Обговорення завершено.